CN105306439A - 一种基于决策树自修复的特征规则检测方法 - Google Patents
一种基于决策树自修复的特征规则检测方法 Download PDFInfo
- Publication number
- CN105306439A CN105306439A CN201510593980.5A CN201510593980A CN105306439A CN 105306439 A CN105306439 A CN 105306439A CN 201510593980 A CN201510593980 A CN 201510593980A CN 105306439 A CN105306439 A CN 105306439A
- Authority
- CN
- China
- Prior art keywords
- node
- decision tree
- leaf node
- enter step
- rate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明属于网络异常检测领域,具体是一种基于决策树自修复的特征规则检测方法。本发明包括:根据决策树算法,通过训练集构建一棵决策树;进行异常检测;采取决策树自修复的增枝方法,对每个叶子节点进行增枝;判断误判率是否大于等于β;采取决策树自修复的剪枝方法。本发明提出了一种决策树的增枝的方法,能够将原本停止分枝或剪枝的叶子节点进行分枝操作,利用增枝方法增加了特征规则,从而减小系统漏检率。
Description
技术领域
本发明属于网络异常检测领域,具体是一种基于决策树自修复的特征规则检测方法。
背景技术
随着计算机及网络技术的发展,异常攻击手段日趋专业化,网络异常事件层出不穷,对当前网络状态进行异常检测是当今网络安全研究领域的重要方向,需要一种检测方法能够对当前网络进行实时监控,并及时发现潜在威胁。
异常检测方法主要是通过数据挖掘算法生成异常特征规则库,然后通过生成的特征规则对待测数据进行特征匹配,从而检测异常。目前数据库知识发现(knowledgediscoveryindatabase,KDD)中比较有效的数据挖掘方法且广泛使用是决策树算法,然而现有的决策树检测方法,过于依赖训练集,若训练集中的数据分布与真实分布不同,则会造成积累误差,从而降低检测率。目前对已停止生长的决策树修改方法多采用剪枝方法,然而决策树一旦停止分支或进行剪枝,就可能造成某一本可以继续分裂的节点成为叶节点,进而断绝了其后继节点进行分枝操作的任何可能性。若想这些叶子节点继续分枝,则只能进行决策树的重构。
目前基于决策树的特征规则检测方法已取得一些研究成果,然而现有的决策树算法的过度依赖于训练集,不能随着检测的进行而逐步完善。专利“基于决策树的攻击检测系统”(CN103107902A),提出采用关联规则法构建特征规则集检测异常攻击,然后通过决策树算法进行进一步的分类预测降低误报率,与本发明要达到的目的有相同之处,但采用的方法和针对的问题都不相同。
综上所述,目前基于决策树的检测方法还存在以下问题:
(1)现有的决策树算法受限于训练集,若训练集中不包含某种异常情况,则无法进行该种异常的特征规则提取,决策树不能随着检测的进行而逐步完善,从而导致检测的漏检率过高。
(2)现有的决策树算法多采用剪枝方法,若出现错误的剪枝情况则无法弥补,剪枝而成的叶子节点被断绝了继续分枝的可能性,只能通过重构才能修复,然而决策树重构耗费的时间过长。
发明内容
本发明的目的是面向大规模网络,对网络状态进行实时监控,并对网络中的异常事件进行自动检测的基于决策树自修复的特征规则检测方法。
本发明的目的是这样实现的:
一种基于决策树自修复的特征规则检测方法,包括如下步骤:
(1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2);
(2)进行异常检测,并计算检测的整体漏检率FPrate和误判率(EPrate),进入步骤(3);
(3)如果FPrate≥α,α为漏检率的阈值,则进入步骤(4),否则进入步骤(5);
(4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决策树,进入步骤(7);
(5)判断误判率是否大于等于β,β为误判率的阈值,若EPrate≥β进入步骤(6),否则返回步骤(2),开始下一个检测周期;
(6)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树,进入步骤(7);
(7)生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测周期;
其中步骤(4)中,决策树自修复的增枝方法的流程如下:
(4.1)计算叶子节点i的漏检率进入步骤(4.2);
(4.2)如果则进入步骤(4.3),否则进入步骤(4.8);
(4.3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4.4);
(4.4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属性作为下一个扩展节点,进入步骤(4.5);
(4.5)判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4.8),若不满足则进入步骤(4.6);
(4.6)计算扩展节点的漏检率进入步骤(4.7);
(4.7)比较待扩展节点的漏检率与的大小,若则对扩展后的所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8);
(4.8)将该节点设置为叶子节点,增枝结束;
其中步骤(4.5)中,叶子节点判定条件如下:
(4.5.1)设置节点纯净度p,即节点数据集中异常事件或安全事件的占比率,Pm为节点纯净度上限;计算待扩展节点的节点纯净度p,当p>Pm时,即节点数据集中异常事件或安全事件的占比率过高,则停止增枝,生成新的叶子节点;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全;
(4.5.2)设置节点占比率t,即节点数据集占整个样例集的比例,Tm为设定的节点占比率下限;计算待扩展节点的节点占比率t,当t<Tm时,即节点中数据量过小,则停止增枝,生成叶子节点;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全;
(4.5.3)属性分裂过程中,当没有可以继续分裂的属性时,则停止增枝,生成新的叶子节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全;
步骤(6)中,所述的决策树自修复的剪枝方法的流程如下:
(6.1)计算叶子节点i的误判率进入步骤(6.2);
(6.2)当时,将该叶子节点的父节点替换成一个叶子节点,从而得到一棵简化决策树;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3);
(6.3)计算简化决策树的误判率进入步骤(6.4);
(6.4)比较与的大小,若则进入步骤(6.5),否则结束;
(6.5)将该子树替换成叶子节点,剪枝结束。
本发明的有益效果在于:
本发明提出了一种决策树的增枝的方法,能够将原本停止分枝或剪枝的叶子节点进行分枝操作,利用增枝方法增加了特征规则,从而减小系统漏检率。本发明提出了一种决策树自修复检测方法,通过决策树算法构建特征规则,结合增枝和剪枝两种方法;当检测的漏检率、误判率高于既定阈值时,分别采用增枝、剪枝的方法实现决策树的自修复过程,避免频繁的决策树重构,提高检测方法的效率。
附图说明
图1一种基于决策树自修复的特征规则检测方法的流程图;
图2一种基于决策树自修复的特征规则检测方法中增枝方法流程图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明的特点是通过决策树算法初步生成特征规则后,随着检测数据量的逐渐增多,能够根据系统漏检率、误判率的逐渐升高完成决策树的自修复过程。
本发明提出一种基于决策树自修复的特征规则检测方法,通过决策树算法构建特征规则,结合增枝和剪枝两种方法,随着异常检测的逐步进行修剪决策树,从而更新特征规则,使其构建过程不完全依赖于训练集。其中,增枝方法使得决策树不必重构也能继续进行生长,解决了因停止分枝或错误剪枝造成的漏检率升高问题;剪枝方法能够避免过度拟合,降低误判率。当检测的漏检率升高时,通过决策树自修复的增枝方法降低漏检率;当检测的误判率升高时,通过决策树自修复的剪枝方法降低误判率,从而实现一种决策树自修复的特征规则检测方法。
本发明是一种基于决策树自修复的特征规则检测方法,首先根据决策树算法构建一棵决策树;然后,通过决策树生成的特征规则,对接收到的数据进行异常事件的检测,在每个检测周期开始时,计算检测的整体漏检率和误判率;最后,根据漏检率与误判率的变化,通过增枝方法和剪枝方法分别对决策树进行修剪,从而得到新的特征规则进入下一个周期的检测。
计算漏检率、误判率,每个节点需记录如下性能指标:异常事件判断为异常事件的数量(TP)、异常事件误判为安全事件的数量(FP)、安全事件误判为异常事件的数量(NP)。其中,漏检率FPrate=FP/(TP+FP),漏检率(FPrate)越大说明漏检的数量越多,代表当前的规则数不足以检测所有的异常事件,属性划分的细致程度与检测率成正比,因此需要扩展叶子节点,进而增加特征规则,即采用决策树自修复的增枝方法;误判率EPrate=(NP+FP)/(FP+TP+NP),误判率(EPrate)越大说明误报的异常数量越多,即发生分类错误的情况越多,剪枝方法能够解决误判问题,因此需要对决策树进行节点缩减,进而减少特征规则,即采用决策树自修复的剪枝方法。
本发明的一种基于决策树自修复的特征规则检测方法流程如下:
(1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2);
(2)进行异常检测,并计算检测的整体漏检率(FPrate)和误判率(EPrate),进入步骤(3);
(3)如果FPrate≥α(α为漏检率的阈值),则进入步骤(4),否则进入步骤(5);
(4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决策树,进入步骤(7);
(5)判断误判率是否大于等于β(β为误判率的阈值),若EPrate≥β进入步骤(6),否则返回步骤(2),开始下一个检测周期;
(6)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树,进入步骤(7);
(7)生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测周期。
其中步骤(4)中,本发明的决策树自修复的增枝方法的具体流程如下:
(4.1)计算叶子节点i的漏检率进入步骤(4.2);
(4.2)如果则进入步骤(4.3),否则进入步骤(4.8);
(4.3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4.4);
(4.4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属性作为下一个扩展节点,进入步骤(4.5);
(4.5)判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4.8),若不满足则进入步骤(4.6);
(4.6)计算扩展节点的漏检率进入步骤(4.7);
(4.7)比较待扩展节点的漏检率与的大小,若则对扩展后的所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8);
(4.8)将该节点设置为叶子节点,增枝结束。
其中步骤(4.5)中,叶子节点判定条件如下:
(4.5.1)设置节点纯净度p,即节点数据集中异常事件或安全事件的占比率,Pm为节点纯净度上限。计算待扩展节点的节点纯净度p,当p>Pm时,即节点数据集中异常事件或安全事件的占比率过高,则停止增枝,生成新的叶子节点。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
(4.5.2)设置节点占比率t,即节点数据集占整个样例集的比例,Tm为设定的节点占比率下限。计算待扩展节点的节点占比率t,当t<Tm时,即节点中数据量过小,则停止增枝,生成叶子节点。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
(4.5.3)属性分裂过程中,当没有可以继续分裂的属性时,则停止增枝,生成新的叶子节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
步骤(6)中,本发明所述的决策树自修复的剪枝方法的具体实现流程如下:
(6.1)计算叶子节点i的误判率进入步骤(6.2);
(6.2)当时,将该叶子节点的父节点替换成一个叶子节点,从而得到一棵简化决策树。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3);
(6.3)计算简化决策树的误判率进入步骤(6.4);
(6.4)比较与的大小,若则进入步骤(6.5),否则结束;
(6.5)将该子树替换成叶子节点,剪枝结束。
本发明是一种基于决策树自修复的特征规则检测方法,首先根据决策树算法构建一棵决策树;然后,通过决策树生成的特征规则,对接收到的数据进行异常事件的检测,在每个检测周期开始时,计算检测的整体漏检率和误判率;最后,根据漏检率与误判率的变化,通过增枝方法和剪枝方法分别对决策树进行修剪,从而得到新的特征规则进入下一个周期的检测。
计算漏检率、误判率,每个节点需记录如下性能指标:异常事件判断为异常事件的数量(TP)、异常事件误判为安全事件的数量(FP)、安全事件误判为异常事件的数量(NP)。其中,漏检率FPrate=FP/(TP+FP),漏检率(FPrate)越大说明漏检的数量越多,代表当前的规则数不足以检测所有的异常事件,属性划分的细致程度与检测率成正比,因此需要扩展叶子节点,进而增加特征规则,即采用决策树自修复的增枝方法;误判率EPrate=(NP+FP)/(FP+TP+NP),误判率(EPrate)越大说明误报的异常数量越多,即发生分类错误的情况越多,剪枝方法能够解决误判问题,因此需要对决策树进行节点缩减,进而减少特征规则,即采用决策树自修复的剪枝方法。
本发明的一种基于决策树自修复的特征规则检测方法流程如下:
(1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2);
(2)进行异常检测,并计算检测的整体漏检率(FPrate)和误判率(EPrate),进入步骤(3);
(3)如果FPrate≥α(α为漏检率的阈值),则进入步骤(4),否则进入步骤(5);
(4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决策树,进入步骤(7);
(5)判断误判率是否大于等于β(β为误判率的阈值),若EPrate≥β进入步骤(6),否则返回步骤(2),开始下一个检测周期;
(6)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树,进入步骤(7);
(7)生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测周期。
其中步骤(4)中,本发明的决策树自修复的增枝方法的具体流程如下:
(4.1)计算叶子节点i的漏检率进入步骤(4.2);
(4.2)如果则进入步骤(4.3),否则进入步骤(4.8);
(4.3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4.4);
(4.4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属性作为下一个扩展节点,进入步骤(4.5);
(4.5)判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4.8),若不满足则进入步骤(4.6);
(4.6)计算扩展节点的漏检率,进入步骤(4.7);
(4.7)比较待扩展节点的漏检率与的大小,若则对扩展后的所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8);
(4.8)将该节点设置为叶子节点,增枝结束。
其中步骤(4.5)中,叶子节点判定条件如下:
(4.5.1)设置节点纯净度p,即节点数据集中异常事件或安全事件的占比率,Pm为节点纯净度上限。计算待扩展节点的节点纯净度p,当p>Pm时,即节点数据集中异常事件或安全事件的占比率过高,则停止增枝,生成新的叶子节点。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
(4.5.2)设置节点占比率t,即节点数据集占整个样例集的比例,Tm为设定的节点占比率下限。计算待扩展节点的节点占比率t,当t<Tm时,即节点中数据量过小,则停止增枝,生成叶子节点。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
(4.5.3)属性分裂过程中,当没有可以继续分裂的属性时,则停止增枝,生成新的叶子节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全。
步骤(6)中,本发明所述的决策树自修复的剪枝方法的具体实现流程如下:
(6.1)计算叶子节点i的误判率进入步骤(6.2);
(6.2)当时,将该叶子节点的父节点替换成一个叶子节点,从而得到一棵简化决策树。叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3);
(6.3)计算简化决策树的误判率进入步骤(6.4);
(6.4)比较与的大小,若则进入步骤(6.5),否则结束;
(6.5)将该子树替换成叶子节点,剪枝结束。
下面结合具体实施例对本发明的一种基于决策树自修复的特征规则检测方法作以下详细地说明。
实施例1:
如图1和图2所示,整体漏检率(FPrate)为35%,漏检率的阈值α为30%,整体误判率(EPrate)为20%,误判率的阈值β为30%,工作流程如下:
(1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2);
(2)进行异常检测,并计算检测的整体漏检率(FPrate)和误判率(EPrate),进入步骤(3);
(3)整体漏检率FPrate大于30%,进入步骤(4);
(4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决策树,进入步骤(5);
(5)计算所有叶子节点的漏检率进入步骤(6);
(6)将所有漏检率大于30%的叶子节点作为待扩展节点,进入步骤(7);
(7)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属性作为下一个扩展节点,进入步骤(8);
(8)计算扩展节点的漏检率进入步骤(9);
(9)对所有的节点执行步骤(7)~(8),直到满足将该节点设置为叶子节点,进入步骤(10);
(10)生成新的特征规则,增枝过程结束。
实施例2:
如图1所示,整体漏检率(FPrate)为25%,漏检率的阈值α为30%,整体误判率(EPrate)为32%,误判率的阈值β为30%,工作流程如下:
(1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2);
(2)进行异常检测,并计算检测的整体漏检率(FPrate)和误判率(EPrate),进入步骤(3);
(3)整体漏检率FPrate小于30%,则进入步骤(4);
(4)整体误判率EPrate大于30%,进入步骤(5);
(5)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树,进入步骤(6);
(6)计算所有叶子节点i的误判率进入步骤(7);
(7)将所有大于30%的叶子节点的父节点替换成一个叶子节点,从而得到一棵简化决策树,进入步骤(8);
(8)计算简化后的叶子节点的误判率比较与的大小,若则将该子树替换成叶子节点,进入步骤(9);
(9)生成新的特征规则,剪枝过程结束。
本发明的有益效果体现在:
(1)本发明提出了一种决策树的增枝方法,能够将原本停止分枝或剪枝的叶子节点进行分枝操作,使得决策树不必重构也能继续自修复。同时,通过增枝方法增加了特征规则,从而减小系统漏检率。
(2)本发明提出了一种决策树自修复检测方法,通过决策树算法构建特征规则,结合增枝和剪枝两种方法;当检测的漏检率、误判率高于既定阈值时,分别采用增枝、剪枝的方法实现决策树的自修复过程,避免频繁的决策树重构影响检测方法的效率。
Claims (1)
1.一种基于决策树自修复的特征规则检测方法,其特征在于,包括如下步骤:
(1)根据决策树算法,通过训练集构建一棵决策树,生成初始特征规则进入步骤(2);
(2)进行异常检测,并计算检测的整体漏检率FPrate和误判率EPrate,进入步骤(3);
(3)如果FPrate≥α,α为漏检率的阈值,则进入步骤(4),否则进入步骤(5);
(4)采取决策树自修复的增枝方法,对每个叶子节点进行增枝,从而进一步完善决策树,进入步骤(7);
(5)判断误判率是否大于等于β,β为误判率的阈值,若EPrate≥β进入步骤(6),否则返回步骤(2),开始下一个检测周期;
(6)采取决策树自修复的剪枝方法,对每个叶子节点进行剪枝,从而修剪决策树,进入步骤(7);
(7)生成新的特征规则,作为下一次检测的依据,返回步骤(2),开始下一个检测周期;
其中步骤(4)中,决策树自修复的增枝方法的流程如下:
(4.1)计算叶子节点i的漏检率进入步骤(4.2);
(4.2)如果则进入步骤(4.3),否则进入步骤(4.8);
(4.3)尝试将叶子节点作为待扩展节点重新进行分枝,进入步骤(4.4);
(4.4)根据检测后更新的数据集,通过决策树算法,选取当前数据集中比例最大的属性作为下一个扩展节点,进入步骤(4.5);
(4.5)判断待扩展节点是否满足叶子节点判定条件,若满足则进入步骤(4.8),若不满足则进入步骤(4.6);
(4.6)计算扩展节点的漏检率进入步骤(4.7);
(4.7)比较待扩展节点的漏检率与的大小,若则对扩展后的所有叶子节点进行增枝,进入步骤(4.3);否则进入步骤(4.8);
(4.8)将该节点设置为叶子节点,增枝结束;
其中步骤(4.5)中,叶子节点判定条件如下:
(4.5.1)设置节点纯净度p,即节点数据集中异常事件或安全事件的占比率,Pm为节点纯净度上限;计算待扩展节点的节点纯净度p,当p>Pm时,即节点数据集中异常事件或安全事件的占比率过高,则停止增枝,生成新的叶子节点;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全;
(4.5.2)设置节点占比率t,即节点数据集占整个样例集的比例,Tm为设定的节点占比率下限;计算待扩展节点的节点占比率t,当t<Tm时,即节点中数据量过小,则停止增枝,生成叶子节点;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全;
(4.5.3)属性分裂过程中,当没有可以继续分裂的属性时,则停止增枝,生成新的叶子节点,叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全;
步骤(6)中,所述的决策树自修复的剪枝方法的流程如下:
(6.1)计算叶子节点i的误判率进入步骤(6.2);
(6.2)当时,将该叶子节点的父节点替换成一个叶子节点,从而得到一棵简化决策树;叶子节点的分类则根据集合中异常事件与安全事件的比重决定,若异常事件比重大则该叶子节点的类别设置为异常,反之设置为安全,进入步骤(6.3);
(6.3)计算简化决策树的误判率进入步骤(6.4);
(6.4)比较与的大小,若则进入步骤(6.5),否则结束;
(6.5)将该子树替换成叶子节点,剪枝结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510593980.5A CN105306439B (zh) | 2015-09-17 | 2015-09-17 | 一种基于决策树自修复的特征规则检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510593980.5A CN105306439B (zh) | 2015-09-17 | 2015-09-17 | 一种基于决策树自修复的特征规则检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105306439A true CN105306439A (zh) | 2016-02-03 |
| CN105306439B CN105306439B (zh) | 2019-04-19 |
Family
ID=55203194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510593980.5A Active CN105306439B (zh) | 2015-09-17 | 2015-09-17 | 一种基于决策树自修复的特征规则检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105306439B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107562703A (zh) * | 2016-07-01 | 2018-01-09 | 北京国双科技有限公司 | 字典树重构方法及系统 |
| CN107682302A (zh) * | 2016-08-02 | 2018-02-09 | 中国电信股份有限公司 | 跨站脚本攻击检测方法和装置 |
| CN108393273A (zh) * | 2017-12-22 | 2018-08-14 | 苏州信立盛电子有限公司 | 一种pcb板的外观检测方法 |
| CN109542601A (zh) * | 2018-11-20 | 2019-03-29 | 杭州迪普科技股份有限公司 | 策略编译方法、装置、电子设备及计算机存储介质 |
| CN110019987A (zh) * | 2018-11-28 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种基于决策树的日志匹配方法和装置 |
| CN112100621A (zh) * | 2020-09-11 | 2020-12-18 | 哈尔滨工程大学 | 一种基于敏感权限和api的安卓恶意应用检测方法 |
| CN113824678A (zh) * | 2020-06-19 | 2021-12-21 | 卡巴斯基实验室股份制公司 | 处理信息安全事件以检测网络攻击的系统和方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1790379A (zh) * | 2004-12-17 | 2006-06-21 | 中国林业科学研究院资源信息研究所 | 一种遥感影像决策树分类系统及方法 |
| US20140372158A1 (en) * | 2013-06-12 | 2014-12-18 | Fair Isaac Corporation | Determining Optimal Decision Trees |
-
2015
- 2015-09-17 CN CN201510593980.5A patent/CN105306439B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1790379A (zh) * | 2004-12-17 | 2006-06-21 | 中国林业科学研究院资源信息研究所 | 一种遥感影像决策树分类系统及方法 |
| US20140372158A1 (en) * | 2013-06-12 | 2014-12-18 | Fair Isaac Corporation | Determining Optimal Decision Trees |
Non-Patent Citations (1)
| Title |
|---|
| 李雪、等: "基于序贯决策融合的变化检测方法研究", 《长江科学院院报》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107562703A (zh) * | 2016-07-01 | 2018-01-09 | 北京国双科技有限公司 | 字典树重构方法及系统 |
| CN107682302A (zh) * | 2016-08-02 | 2018-02-09 | 中国电信股份有限公司 | 跨站脚本攻击检测方法和装置 |
| CN108393273A (zh) * | 2017-12-22 | 2018-08-14 | 苏州信立盛电子有限公司 | 一种pcb板的外观检测方法 |
| CN109542601A (zh) * | 2018-11-20 | 2019-03-29 | 杭州迪普科技股份有限公司 | 策略编译方法、装置、电子设备及计算机存储介质 |
| CN110019987A (zh) * | 2018-11-28 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种基于决策树的日志匹配方法和装置 |
| CN110019987B (zh) * | 2018-11-28 | 2023-05-09 | 创新先进技术有限公司 | 一种基于决策树的日志匹配方法和装置 |
| CN113824678A (zh) * | 2020-06-19 | 2021-12-21 | 卡巴斯基实验室股份制公司 | 处理信息安全事件以检测网络攻击的系统和方法 |
| EP3926501A1 (en) * | 2020-06-19 | 2021-12-22 | AO Kaspersky Lab | System and method of processing information security events to detect cyberattacks |
| CN113824678B (zh) * | 2020-06-19 | 2023-07-11 | 卡巴斯基实验室股份制公司 | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 |
| CN112100621A (zh) * | 2020-09-11 | 2020-12-18 | 哈尔滨工程大学 | 一种基于敏感权限和api的安卓恶意应用检测方法 |
| CN112100621B (zh) * | 2020-09-11 | 2022-05-20 | 哈尔滨工程大学 | 一种基于敏感权限和api的安卓恶意应用检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105306439B (zh) | 2019-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105306439A (zh) | 一种基于决策树自修复的特征规则检测方法 | |
| CN101976313B (zh) | 基于频繁子图挖掘的异常入侵检测方法 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN106341414A (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
| CN105208040A (zh) | 一种网络攻击检测方法及装置 | |
| CN107701378B (zh) | 一种风力发电机故障预警方法 | |
| CN103488941A (zh) | 硬件木马检测方法及系统 | |
| CN112415331B (zh) | 基于多源故障信息的电网二次系统故障诊断方法 | |
| CN116304766A (zh) | 基于多传感器的开关柜状态快速评估方法 | |
| CN108388233B (zh) | 一种工控现场设备隐蔽攻击检测方法 | |
| CN108803565B (zh) | 一种工控系统隐蔽攻击实时检测方法及装置 | |
| CN110598180B (zh) | 一种基于统计分析的事件检测方法、装置及系统 | |
| CN101227331A (zh) | 一种减少网络入侵检测系统误告警方法 | |
| CN109347853A (zh) | 基于深度包解析的面向综合电子系统的异常检测方法 | |
| CN105577403A (zh) | 基于频繁路径的告警相关性数据挖掘方法和装置 | |
| CN116049146A (zh) | 一种数据库故障处理方法、装置、设备及存储介质 | |
| CN104933365A (zh) | 一种基于调用习惯的恶意代码自动化同源判定方法及系统 | |
| Zhou et al. | Robustness analysis of power system dynamic process and repair strategy | |
| CN105406462A (zh) | 基于系统拓扑模型的pmu配置方法 | |
| CN102708313B (zh) | 针对大文件的病毒检测系统及方法 | |
| CN109901003B (zh) | 一种逆变器功率故障检测方法及系统 | |
| Luktarhan et al. | Multi-stage attack detection algorithm based on hidden markov model | |
| CN116187423A (zh) | 一种基于无监督算法的行为序列异常检测方法及系统 | |
| CN111209158B (zh) | 服务器集群的挖矿监控方法及集群监控系统 | |
| Song et al. | Isolation forest based detection for false data attacks in power systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |